[求助]binary大哥的《VMProtect2.04加壳程序从入门到精通》的帖子里面的一点疑问-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
我d神雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	我d神 2 楼这是中断在系统和入口处的截图。不知道binarystar大哥是如何看到下面的这些内容的。谢谢…… 《 VM的堆栈一共使用61个DWORD，上下分别有2个堆栈指针，下面为EBP指针，上面为EDI指针。下面是VM初始化时，给EDI和EBP指针赋值后的堆栈。 EDI=0013F8BC EBP=0013F9B0 CPU Stack Locked Value ASCII Comments 0013F8BC 009539E8 9. ；这里是EDI指向 0013F8C0 00950000 ... 0013F8C4 00150000 ... 0013F8C8 00000080 ... 0013F8CC 019314D6 0013F8D0 0013F8A8 . 0013F8D4 7C92E920 \| 0013F8D8 00000000 .... 0013F8DC 00000000 .... 0013F8E0 00000000 .... 0013F8E4 FFFFFFFF 0013F8E8 7C98FEFF \| 0013F8EC 7C00ADE7 .\| 0013F8F0 00000000 .... 0013F8F4 00150000 ... 0013F8F8 0013F6F0 . 0013F8FC 0013F940 @. 0013F900 0013F944 D. 0013F904 7C92E920 \| 0013F908 7C9301E0 \| 0013F90C FFFFFFFF 0013F910 7C9301DB \| 0013F914 7C9314D6 \| 0013F918 7C931514 \| 0013F91C 7C99E120 \| 0013F920 7C9314EA \| 0013F924 5ADF1158 XZ 0013F928 00000001 ... 0013F92C 00000000 .... 0013F930 7FFDA000 . 0013F934 7FFDF000 . 0013F938 00158070 p. 0013F93C 0013F890 . 0013F940 00000000 .... 0013F944 0043D759 YC. 0013F948 0000E9ED .. 0013F94C 409B0002 .@ 0013F950 00000020 ... 0013F954 0013F9CC . 0013F958 0013F96C l. 0013F95C 0043E9ED C. 0013F960 000359F4 Y. 0013F964 00000020 ... 0013F968 004253CD SB. 0013F96C 409B0000 ..@ 0013F970 00000020 ... 0013F974 0013F9CC . 0013F978 0013F98C . 0013F97C 00000000 .... ；这里是EBP指向 0013F980 00000000 .... ；这里是VM初始化保存的各个寄存器 0013F984 00000246 F.. 0013F988 000359F4 Y. 0013F98C 00000020 ... 0013F990 00000000 .... 0013F994 0013F9CC . 0013F998 004253CD SB. 0013F99C 000359F4 Y. 0013F9A0 00400000 ..@. 0013F9A4 0013F9C0 . 0013F9A8 C456C619 V ；这里是VMP的2个加密数据 0013F9AC 2EF6420A .B. 0013F9B0 7C92118A \| ; RETURN to ntdll.7C92118A ；这里是TLS进来时的栈顶》上传的附件：中断在系统处和入口处的截图.rar （137.12kb，5次下载） 2012-6-25 11:55 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 3 楼不懂，友情帮顶 2012-7-30 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
我d神雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	我d神 2 楼这是中断在系统和入口处的截图。不知道binarystar大哥是如何看到下面的这些内容的。谢谢…… 《 VM的堆栈一共使用61个DWORD，上下分别有2个堆栈指针，下面为EBP指针，上面为EDI指针。下面是VM初始化时，给EDI和EBP指针赋值后的堆栈。 EDI=0013F8BC EBP=0013F9B0 CPU Stack Locked Value ASCII Comments 0013F8BC 009539E8 9. ；这里是EDI指向 0013F8C0 00950000 ... 0013F8C4 00150000 ... 0013F8C8 00000080 ... 0013F8CC 019314D6 0013F8D0 0013F8A8 . 0013F8D4 7C92E920 \| 0013F8D8 00000000 .... 0013F8DC 00000000 .... 0013F8E0 00000000 .... 0013F8E4 FFFFFFFF 0013F8E8 7C98FEFF \| 0013F8EC 7C00ADE7 .\| 0013F8F0 00000000 .... 0013F8F4 00150000 ... 0013F8F8 0013F6F0 . 0013F8FC 0013F940 @. 0013F900 0013F944 D. 0013F904 7C92E920 \| 0013F908 7C9301E0 \| 0013F90C FFFFFFFF 0013F910 7C9301DB \| 0013F914 7C9314D6 \| 0013F918 7C931514 \| 0013F91C 7C99E120 \| 0013F920 7C9314EA \| 0013F924 5ADF1158 XZ 0013F928 00000001 ... 0013F92C 00000000 .... 0013F930 7FFDA000 . 0013F934 7FFDF000 . 0013F938 00158070 p. 0013F93C 0013F890 . 0013F940 00000000 .... 0013F944 0043D759 YC. 0013F948 0000E9ED .. 0013F94C 409B0002 .@ 0013F950 00000020 ... 0013F954 0013F9CC . 0013F958 0013F96C l. 0013F95C 0043E9ED C. 0013F960 000359F4 Y. 0013F964 00000020 ... 0013F968 004253CD SB. 0013F96C 409B0000 ..@ 0013F970 00000020 ... 0013F974 0013F9CC . 0013F978 0013F98C . 0013F97C 00000000 .... ；这里是EBP指向 0013F980 00000000 .... ；这里是VM初始化保存的各个寄存器 0013F984 00000246 F.. 0013F988 000359F4 Y. 0013F98C 00000020 ... 0013F990 00000000 .... 0013F994 0013F9CC . 0013F998 004253CD SB. 0013F99C 000359F4 Y. 0013F9A0 00400000 ..@. 0013F9A4 0013F9C0 . 0013F9A8 C456C619 V ；这里是VMP的2个加密数据 0013F9AC 2EF6420A .B. 0013F9B0 7C92118A \| ; RETURN to ntdll.7C92118A ；这里是TLS进来时的栈顶》上传的附件：中断在系统处和入口处的截图.rar （137.12kb，5次下载） 2012-6-25 11:55 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 3 楼不懂，友情帮顶 2012-7-30 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]binary大哥的《VMProtect2.04加壳程序从入门到精通》的帖子里面的一点疑问 0.00雪花